Dilation Effect: Giao thức cho vay Venus tồn tại lỗ hổng mất độ chính xác, có thể dẫn đến rủi ro về quỹ

CoinVoice mới nhận được thông tin, Dilation Effect đã công bố trên X rằng họ phát hiện ra lỗ hổng mất độ chính xác của chuỗi hợp đồng core pool của giao thức cho vay Venus, khi giao thức thêm tài sản thế chấp mới, rất dễ khiến kẻ tấn công lợi dụng, rút sạch toàn bộ quỹ.

Cụ thể, hợp đồng VToken của core pool gặp vấn đề mất độ chính xác trong phép chia khi tính toán redeemTokens trong hàm redeemUnderlying. Nếu giao thức thêm tài sản thế chấp mới trên chuỗi, khi LTV lớn hơn 0 và pool tài sản mới là một pool trống (totalSupply=0), khi tài sản mới có thể mintable, nó có thể bị hacker tấn công. Điều này khiến tất cả quỹ trong core pool gặp rủi ro.

Dilation Effect đề nghị Venus có thể sửa chữa toàn diện lỗ hổng này (bao gồm tất cả các chuỗi và tất cả các pool liên quan), các phương pháp có thể áp dụng bao gồm làm tròn kết quả phép chia lên khi tính toán redeemTokens (được khuyến nghị), hoặc bắt chước thiết kế của Uniswap sử dụng initial_deposit_amount, hoặc xóa hoàn toàn giao diện redeemUnderlying, v.v. [Liên kết gốc]